ネットワークエンジニアのお仕事　～新システム追加　設定編～

ネットワークエンジニアのお仕事　～新システム追加　座学編～

ネットワークエンジニアのお仕事　～新システム追加　座学編～

 

 

新しいシステムの追加

前回の授業で新しいシステムが追加されることを想定して、手順を学んできました。今回は、実際に設計・設定をしていきましょう。

 

 

物理設定（ポート数）

それでは、物理要件の整理から始めましょう。本来であれば、システム担当者にヒアリングして情報を収集するところですが、今回はこんな感じでいきたいと思います。

 

 

システムを収容するスイッチの基本的な物理構成は2台で1セットとします。理由としては、以前の授業でも教えましたが、ゲートウェイ冗長をすることで耐障害性を高めるためです。そのため、今回の要件で必要となるスイッチポート数が4つであれば、1台当たり2ポートが必要になりますね。今回は既存で使用していないGigabitEthernet0/3とGigabitEthernet0/4を使用したいと思います。

 

論理設計（セグメント／サブネットマスク etc）

続いて、論理設計に入っていきます。今回の新しいシステムの論理設計をしていきたいと思います。

 

VLAN ID

それでは今回のVLANについて設計していきましょう。

 

 

Vlanを定義した際に、何のVLANなのかがわからなくなってしまうので、VLANに名前を付けておいた方がいいです。特に構築時から担当者が変わってしまうと、何のシステムを収容しているセグメントか分からなくってしまうので、今後のためにも設定しておきましょう。

 

セグメント

次にセグメントを決めていきましょう。本来であれば設計書やパラメータシートなどに書かれているルールに従って決めていくのがベストです。それでは、そもそも設計書ではどのようにルールで決めていくのでしょうか？一緒にみていきましょう。

 

まず最初に大枠を決めていきます。例えば、

 

 

ここで大枠を決めておき、この『/16』のサブネットの中から各システム毎にセグメントを採番していきます。今回の新しいシステムはA群に含まれるシステムと想定して、10.1.0.0/16から採番をしていきたいと思います。

 

サブネットマスク

次にサブネットマスクの設計になります。物理設計の際に必要ポート数を2つとしましたが、必ずしもポート数と同じとは限りません。例えば、サーバ担当側でスイッチブレードを入れていたり、単純にHUBを接続されていたりするので、システム側で使用するIPアドレス数を確認しておく必要があります。今回は、システム側で必要とするIPアドレス数を10個とします。

 

本来であれば、16個のアドレスが作れるマスク『/28』でも大丈夫ですが、実際にシステム側に付与できるIPアドレスは16個もないのです。10.1.0.0/28を例に考えてみたいと思いますので、黒板を見てみてください。2台のL3SWでHSRPを使用している場合を想定して考えてみましょう。

 

 

このように実際に使用できるのは最大でも11台となります。「やっぱり足りてるじゃん！」って思われるかもしれませんが、システム運用していればSVや端末の台数は増えることがあります。その際にシステム側の機器でIPアドレスやサブネットマスク、デフォルトゲートウェイを変更するのはかなり難しくなります。そうならないように拡張性も検討しておく必要があります。そのため今回は、サブネットマスクを『/27』以上にしておくことが望ましいです。

 

HSRP

サブネットマスクのアドレス採番でも少し記載しましたが、ゲートウェイ冗長を使用することが多いため、ここでも簡単に設計を決めておきます。以下のようなステータスで設定しておきたいと思います。※IPアドレスはサブネットマスクで採番した値を使うこととします。

 

 

HSRPをあまり理解できていない方は、以前の授業で紹介していますので、こちらから勉強しておきましょう。

 

HSRP（Hot Standby Router Protocol）　～基礎編①～

HSRP（Hot Standby Router Protocol）　～基礎編①～

 

ここまでの設定

ここまでの物理設計・論理設計の設定をまとめていこうと思います。今回は、スイッチ1のみの設定を紹介させていただきますが、これまで設計に合わせてスイッチ2も設定してみましょうね。

 

【SW1】

***** VLAN10の作成 *****

SW1(config)#vlan 10

SW1(config-vlan)#name TEST_SV

SW1(config-vlan)#!

***** Vlan Interface 10のHSRP設定 *****

SW1(config-vlan)#interface vlan 10

SW1(config-if)#ip address 10.1.0.28 255.255.255.224

SW1(config-if)#standby 10 ip 10.1.0.30

SW1(config-if)#standby 10 priority 110

SW1(config-if)#!

***** 物理インターフェースの設定 *****

SW1(config)#interface range gigabitEthernet 0/3 – 4

SW1(config-if-range)#switchport mode access

SW1(config-if-range)#switchport access vlan 10

 

 

 

通信要件

次に通信要件の確認をしましょう。なかなかシステム担当側だけで通信要件をまとめてくれることは難しいですが、なるべく協力してもらうようにしましょう。それが、セキュアなネットワークを作る第一歩となります。それでは通信要件に合わせて設計・設定をしていきましょう。

 

ルーティング制御

今回のネットワークはEIGRPのダイナミックルーティングが使用されていることを前提に考えてみたいと思います。基本的には今までの通信要件に追加で『10.1.0.0/27』のルートを各機器に配布出来るように、リストを追加する必要があります。今回は、収容するスイッチで制御していたとして追加してみたいと思います。

 

【SW1】

SW1(config)#router eigrp 10

SW1(config-router)#distribute-list prefix TEST_LIST out gigabitEthernet 0/1

SW1(config-router)#!

SW1(config-router)#ip prefix-list TEST_LIST permit 10.1.0.0/27

 

この設定により、EIGRPを使ってスイッチ1から『10.1.0.0/27』のルートが配布されるようになります。今回は追加設定のみですが、既存設定がある場合は、prefix-list設定を追加する位置に注意するようにしましょうね。EIGRPの設定についても過去授業から学んでおきましょう。

 

EIGRPの概要　～設定編②～

EIGRPの設定　～ルート制御編～

 

通信制御

ルーティング制御の次は通信制御を考えてみたいと思います。構成図を見て通信経路上の機器で通信制御が設定されていないかを探す必要があります。そして拒否の設定がされている場合は、許可に変更します。

 

【RT1】

RT1(config)#ip access-list standard TEST_ACL

RT1(config-std-nacl)#permit 10.1.0.0 0.0.0.31

RT1(config-std-nacl)#!

RT1(config-std-nacl)#interface gigabitEthernet 0/1

RT1(config-if)#ip access-group TEST_ACL in

 

このようにACL設定をしていくわけですが、既存でACLの設定が入っている場合は、一度、インターフェイスの適応を外してACLを削除してから入れ直しすることをおすすめします。ACLの特徴などはこちらの授業で紹介していますので、こちらも読んでおきましょう。

 

アクセスリストによる通信制御　～基礎編～

アクセスリストによる通信制御　～基礎編～

 

 

優先・帯域制御

WAN区間を通るような通信要件があれば、優先・帯域制御の設定をする機会が多くなります。まだ授業で優先・帯域制御について教えてきていませんので、今回は割愛しますが、考え方だけは教えておきたいと思います。優先・帯域制御についての授業もそのうち書いていきます。

 

まずは、通信の分類を行います。観点としては『重要度』と『データ量』で整理することが重要となります。『重要度』が高いであれば、PQ（Priority Queue）として設定しておくことで優先的に通信を通すことが出来るようになります。『データ量』が多い通信であれば、最低帯域保証をしっかりしておくことで、輻輳した際のトラブルを最小限にすることが出来ます。※ただし、必要帯域と実際の回線帯域に大きな差分があると優先・帯域制御だけでは防げなくなりますので、注意してくださいね。

 

 

まとめ

 

コンソールケーブル

【CISCO互換ケーブル】FTDI chipset USB RJ45 コンソールケーブル 新品価格 ￥869から (2019/4/29 23:37時点)

CISOC1812J

CISCO Cisco 1812J 固定構成型 セキュアブロードバンドアクセスルータ CISCO1812-J/K9 中古価格 ￥4,880から (2019/4/29 23:36時点)

CISCO891FJ

Cisco 891FJ-K9 C891FJ-K9 サービス統合型ルータ 中古価格 ￥9,380から (2019/4/29 23:36時点)

Catalyst 3560-8PC-S

CISCO Catalyst 3560-8PC-S マルチレイヤ イーサネット PoE対応 スイッチ WS-C3560-8PC-S 中古価格 ￥12,800から (2019/4/29 23:39時点)